Сижу уже несколько дней с дизайном zkPermissions от
@NewtonProtocol и снова и снова упираюсь в один и тот же неприятный вопрос: «без доверия» здесь правда без доверия, или доверие просто надело другой костюм?
Подача чистая — агенты работают внутри TEE-«чёрного ящика», доказывают каждое действие с помощью ZK, и вам никогда не нужно передавать свой приватный ключ. На бумаге это реальный шаг вперёд по сравнению с двумя «смертельными спиралями», в которых сейчас живёт каждый on-chain агент: либо вы отдаёте ключи агенту и молитесь, чтобы он не сорвался, либо он пингует вас на подпись на каждом шаге, что полностью убивает смысл «автоматизации».
Но вот где я начинаю искать выход:
Срез один — TEE не магия. Сам по себе Intel SGX имеет давнюю историю уязвимостей через side-channel и повышений привилегий. Newton ставит на то, что «поведение агента проверяемо», опираясь на железо, которое уже ломали.
Срез два — ZK доказывает, что ваша математика верна. Но он не может доказать, что те данные, которые вы подали, были правдивыми. Если TEE скомпрометирован, ZK-доказательство превращается в красиво инженерный «штамп» на мусорном вводе.
Срез три — эти два сценария отказа не пересекаются. Один не может поймать то, что пропускает другой. Это не избыточность, это два отдельных единственных пункта отказа, наложенных друг на друга.
Я не говорю, что направление неверное — zkPermissions это действительно интересная попытка решить вопрос хранения ключей без постоянного надзора. Я говорю, что утверждения «никто не обязан доверять оператору» и «никто не может успешно атаковать оператора» — это две совершенно разные вещи, и прямо сейчас Newton продвинулся лишь наполовину к доказательству второго.
Любопытно, что думают люди, которые реально копались в уязвимостях SGX: есть ли реалистичный криптографический путь, чтобы закрыть этот разрыв (кластеризация TEE + гибрид с MPC?), или это просто первородный грех, с которым приходится жить любой системе на базе TEE? Напишите ваше мнение ниже.
#TEE #ZKP #Newt @NewtonProtocol $NEWT $EVAA $LAB